DoS támadást lehetővé tevő hibát találtak az Apache webszerver 1.3-as és 2.0-ás verzióiban

[Apache.org] Hétfőn a szoftverbiztonsággal foglalkozó Internet Security Systems (ISS) közzétette egy eddig még nem ismert biztonsági hiba leírását, amely a website-ok 63 százalékát kiszolgáló Apache webszerver különböző verzióit érinti. Az ISS oldalán a hiba kijavításához szükséges információk is megtalálhatóak. Mára azonban kiderült, hogy az ISS által közzétett javítás annyira nem is jó, a cég pedig egyáltalán nem egyeztetett az Apache fejlesztőivel. Az Apache.org hibabejelentése szerint az ISS által javasolt patch nem javítja ki a hibát. A fejlesztők már az ISS figyelmeztetése előtt is tudtak a dolgoról, de még nem készültek el a megfelelő javításokkal.

A probléma egyébként a webszerver érvénytelen kéréseket kezelő kódjában van, egy megfelelően formázott érvénytelen kéréssel a kérést kezelő processz teljesen leállítható. Ennek hatására a httpd szülő természetesen új processzt fog indítani, ez azonban viszonylag erőforrásigényes folyamat, és nagyobb mennyiségben akár szolgáltatásmegtagadási hibákhoz is vezethet. Az Apache Software Foundation dolgozik a megoldáson, és minden bizonnyal hamarosan feltűnnek a frissítések az apache.org-on.